WordPressを運用中のサーバがまるごとPHPマルウェアに感染していた時の対応メモ - Qiita

(2021.1.26 追記) 本稿の続きを書きました。 時系列で見る：WordPressを運用中のサーバが丸ごとPHPマルウェアに感染する流れ https://qiita.com/Ayutanalects/items/e7919afadc7d8394820f 制作会社から「自社で管理中のサイトがおかしい」との連絡を受けて、 中をのぞいたら、PHP製の複数種類のマルウェアに感染していたので対応をメモ。 以下の内容は、あくまでも自分の対応時のものです。 攻撃者がスクリプトを変更すれば同じ方法では検出できなくなるのでご注意ください。 初期状態 症状 自社管理中のWordPressサイトにアクセスすると、全く知らないサイトにリダイレクトされる 今回は allc〇〇ling.shop というEC風サイト。Kasperskyを使っていると、「警察機関指定の危険サイト」の警告あり https://sup

[eru01]

おそらく書いてる本人は百も承知の上で依頼元がアホなだけなんやろけど、本来はクリーンなwpを立て直して、必要なデータだけサニタイズしつつサルベージすべき案件よな。どうせまたやられるわこのサイト

[ya--mada]

データだけ抜いて再構築では？DNS向き替えで済むんでは？今回を機にCDN挟めば？

[akahigeg]

とりあえずの対応としては乙だけど、最終的にはまっさらな環境に移行しないと落ち着かないかな。

[kazkun]

過去見てきた事例だとDB中のコンテンツにコード挿入とか、あっちこっちのPHPの冒頭にrequire追加とか、紛らわしいファイル名のPHP設置とか。バックドアは複数置かれてるのでサーバは停止が原則というか必須だよねえ。

[hanajibuu]

もっといい方法はあるが、一番楽しい方法だな。

[mkon03]

駆逐するのは無理なのかーー

[mayumayu_nimolove]

普通に新しいサーバー作って移し替えれば良くね？

[t_motooka]

この方法は勉強のためには良いけども、実用的ではないよね。既出だけど。

[toaruR]

わいは別サーバにまっさらから構築し直して切り換えたよ（´－｀）完全駆除の証明が非常に困難

[jsmnt]

WordPressは一度マルウェアに感染すると駆除するのはかなり面倒なので使わないかインターネットには直接公開しない方が良い

[trashtoy]

だらしない運用と思いつつ, 反面教師としてセキュリティ周りの提案などに活用できそうなのでブックマークしておく

[ryunosinfx]

これは参考になるな。まあ１万ファイル有って自動増殖とかアレやな・・・捨ててバックアップから復活が確かにいいけど、VMも分けてなかったら難しいかもしれない。

[viperbjpn]

“ サイトを止めたくないとのことで却下” わかるけど、あかん判断じゃないかしら。

[diveintounlimit]

ジョークエントリー？

[onesplat]

最もまともな対応は今すぐWordPressを投げ棄てることだ

[yamadar]

ブコメ既出だけど新しく立ててDNS付け替えるのが良いと思う。

[s4_ba]

新しいサーバに本来のソースで再構築するのが間違いなさそう。

[n314]

あるある。すぐバレるやり方はまれで、こっそりスパムサーバーやボットネットになってることが多い。

[Wafer]

コンピュータウイルスに関する法律にこの制作会社抵触してる気がする

[tohokuaiki]

入り口は何だったんだろう？そこだけ知りたい。

[oakbow]

これだけのことやれるのはWPに精通してるからだろうしすごいなと思うけど、他ブコメにある通りまたやられそうだし、そのときはこの人のせいにされるのでは…。そういう説明はしてるとは思うけど

[lifeisadog]

google のbotからのアクセス時に別のsitemap.xmlを返すという厄介なやつもいて。元々はWordPressのプラグインから感染するケースが多い。バージョンアップの時にプラグインの作者が変わっている場合はマルウェアが入れられてい

[odakaho]

“検索エンジンで飛んで来る人もいて、詐欺サイトにリダイレクトされているのに止めたくない”

[programmablekinoko]

コードリーディングするとわかるけど未だに魔境なワードプレス / ブコメにもあるけどバージョン管理するほうが先だと思う

[snipesnaps]

わかりずら〜いバックドア仕掛けられてるやつなので、WP最新に上げれるならという条件付きだけど、Wordfenceっていうプラグイン入れてスキャンかければおおむね解決すると思う。

[p1ass]

サイト止められないのはキツイなぁ

[flirt774]

WordPressの不正アクセス統計はこちら https://siteguard.jp-secure.com/tech/jpsecure-labs/report03/ 多いのは単純なFTPパスワードクラックかログインクラックだと思われる。サイト止めないでと言われても無視して止めるのが正しいのでは

[fut573]

s社の共有サーバーは同居サイトのあれこれを見えちゃうのが怖い。

[yhachisu]

そんなアホ顧客切りましょう。切りたい。

[syunnchang]

問い合わせフォーム程度しかないならStaticpressとかで静的サイト化してしまえばいい

[knok]

web上に安易にworld writableに設定できるような解説が多すぎる。調査は再現性できるよう一度unmountしてddでオリジナル保全しといた方がいい。roとかnoatimeで自分でうっかりatime変えてしまわないようにしときたい

[poponponpon]

“サイトの停止は極力避けたい” ええぇ...

[rryu]

サイトを止めないで対症療法していくと最後はいたちごっこになるという。

[hasegawatomoki]

任意のファイル置かれる状況と root 取られる状況は非常に近いのでクリーンインストールしないとだよね。

[localnavi]

「各ドメインのサイトのアクセスを止める」を選ばないのは、有害なマルウェアをばら撒いていたら最初にしないといけないし、掃除も早くできて良いのだがなあ。

[spark7]

「WAF 全ドメインで未使用」これやっとけば防げたかもね。